随着云计算、SDN等新技术的广泛应用以及APT等新型攻击方式的日益发展，传统网络安全模式面临着巨大挑战。在云计算环境中，物理安全设备不能监控和理解虚拟化数据流，难以对其进行有效防护；传统安全架构不能提供按需弹性的网络安全功能，无法适应新型业务发展要求；现有安全设备系统普遍缺乏有效协同及联动的手段与机制，影响对APT等攻击的及时发现与防御。

在此背景下，软件定义安全（SDS）在软件定义网络SDN的基础上被提出，期望实现安全由业务和应用驱动，从而实现复杂网络的安全防护，提升安全防护能力和用户安全体验。广义SDN可分为两大类，其中OpenFlow、Overlay、I2RS强调通过向应用开放接口实现基于应用的网络控制，而NFV更强调硬件的通用性，通过虚拟化技术实现业务快速部署并降低成本。与此相对应，SDS技术也可分为两大类：一类致力于打破传统的安全黑盒子，向上层应用开放API，把编程控制权从厂商内置转化为用户自定义；另一类则将传统安全设备虚拟化后，以虚拟软件的形式运行在通用商业硬件上。这两类技术并不是割裂的，可以有机融合，可在采用虚拟化技术实现安全功能的同时，对外开放API。

当前SDS发展较快的是基于OpenFlow、Overlay和NFV架构的安全技术，但尚无基于I2RS架构的软件定义安全解决方案。

基于OpenFlow的SDS

基于OpenFlow的SDS按照控制与转发分离的原则，将安全架构分为安全应用、安全控制、安全资源三层。安全应用层通过各类安全应用App，直接调用安全控制层的计算能力及数据进行安全分析，将各种个性化的安全功能需求转化为具体的安全资源调度策略，并通过安全控制层予以下发，实现安全防护的智能化、自动化、服务化；安全控制层对安全应用下发的安全策略进行策略解析与冲突检测后，将安全策略下发给资源层的安全设备，或者根据策略对转发资源进行基于流的调度；安全资源层由各种物理形态或虚拟形态的网络安全设备组成，接受控制层的统一部署、管理、调度，实现按需协同安全防护功能。

在安全控制层的实现上，原有SDN控制器无法满足SDS的需求：OpenFlow的控制功能均集中在控制层，转发层仅仅根据流表进行数据转发，而安全系统的设备功能多样化，控制指令也相对复杂，与网络设备有较大区别，控制层面无法进行如此细致的控制；OpenFlow主要侧重于4层以下流量的控制调度，无法满足L4以上的流量安全控制调度需求。因此安全控制器的实现，需要在SDN控制器中内嵌一个安全控制Agent或者单独配置一个安全控制器，满足安全设备的管理控制以及4层以上流量的安全控制调度要求。

基于Overlay的SDS

基于Overlay技术架构实现的软件定义安全技术原理是基于Overlay网络构建服务链，各种安全设备组合抽象成统一安全资源，由服务链控制流量的调度，实现按需安全服务。

这种解决方案要求安全设备能够理解隧道协议，识别业务标签，才能实现按需安全服务。对于无法识别隧道协议的安全设备，需要协议转换网关，将其转换为安全设备能识别的信息，因此，这个网关将不可避免地成为性能瓶颈。

由于Overlay的控制平面依赖于厂家设计，开放性、兼容性较差，因此基于Overlay架构的软件定义安全解决方案主要由Overlay网络设备商实现。

基于NFV的SDS

基于NFV架构是目前业界主流实现方式，通过将传统安全设备虚拟化后，以虚拟软件的形式运行在通用商业硬件上。具体实现方式可分为Agent形态和独立形态两种。

Agent形态指虚拟化安全软件以Agent形式装载在物理主机上，利用虚拟化软件供应商开放的安全扩展接口实现产品功能，主要用于虚拟机之间流量的安全防护。依据与虚拟化软件的耦合度，可分为“松耦合”与“紧耦合”两种模式。“松耦合”模式只调用网络数据包转发类别的API，通过在虚拟化层中实现的代理转发数据包，将流量牵引到虚拟服务器状态的安全产品进行检测与处置。此类数据包转发机制较为简单，管理范围无法跨出物理服务器的边界，代表厂商有checkpoint等。“紧耦合”模式则更深层次地与虚拟化软件的安全框架相结合，直接调用虚拟化软件商提供的安全机制，将安全防护功能执行模块轻薄化，嵌入Hypervisor层中。其依靠虚拟化软件商提供的接口，可实现跨物理服务器的管理，代表厂商有趋势、Juniper等。总体而言，Agent形态与Hypervisor耦合度较高，安全产品受限较大，同时其占用用户虚拟机所在的物理主机资源，产品性能受限于所分配的资源，对用户性能也有一定影响。

独立形态的虚拟化安全软件单独安装在标准的x86服务器上，通过内部网络通信，构成一个可平滑扩展的大容量产品集群，并通过一个统一的管理界面实现弹性、按需部署。与Agent形态相比，其单独使用物理资源，在不挤占用户虚拟机资源的同时，性能可随x86的资源扩展而平滑扩展。与传统芯片加速型硬件防火墙相比，其性能受网卡处理速度、CPU的处理能力和处理机制、Hypervisor虚拟交换机转发速度等因素影响，调优更为复杂。普通网卡所有数据都需要经过Hypervisor虚拟交换机过滤/转发，存在较严重的性能瓶颈。而通过SR-IOV网卡，可以将VF直接分配给虚拟机，虚拟机直接访问VF，数据不再经过Hypervisor虚拟交换机过滤/转发，可以有效提高网络I/O性能。但该方案需要服务器网卡支持SR-IOV技术，虚拟机的Guest OS也要支持相应的驱动；CPU处理能力和处理机制也是制约其性能的重要因素，尤其是对小包的处理效率。

总体而言，软件定义安全技术仍处于起步阶段，但随着SDN技术的快速发展，运营商可在跟踪研究相关技术的基础上，积极探索软件定义安全防护技术的引入及部署。一方面结合IDC的SDN引入进程，研究并验证软件定义化安全设备的部署应用方案，引导厂商满足运营商的实际需求。尤其是安全设备虚拟化后，其性能主要取决于CPU，需考量其性能损耗是否能满足现网实际需求，谨慎推进。建议针对传统安全设备与虚拟安全设备混合组网进行测试验证，并与安全厂商合作，共同推动软件定义化安全设备的发展。另一方面研究软件定义安全架构实现技术，利用软件定义安全架构的集中控制性和开放性，解决现有各安全系统缺乏有效协同、联动以及可扩展性不强的问题，推动网络安全架构的演进。